DTEX 的研究人員詳細說明,以 Anthropic 開發、用於企業環境的 Claude Cowork 為例,儘管其提供便利的 AI Agent 部署方式,卻也賦予 Agent 幾乎完整的系統存取權限。Claude Cowork 包含多種工具,可讓使用者遠端控制其 Agent,例如 Dispatch 工具,能將指令從手機傳遞至桌上型電腦的 Claude Agent。Dispatch 更整合了與 Salesforce AI agents 溝通的 Plugin(外掛程式),能存取並傳輸資料。
研究人員進行兩項情境測試:首先,提示 Claude 從 Salesforce 總結資訊並貼入 Microsoft Outlook 電子郵件草稿;其次,指示 Agent 歸檔選定檔案並透過 Claude Cowork 應用程式傳輸。DTEX 的測試結果證實,AI Agent 可存取敏感系統、應用程式和資料,包括 SharePoint 企業資料、Microsoft OneDrive 中的生產文件、Outlook 電子郵件、Salesforce 資料,以及使用者端點設備上的任何檔案。針對這些應用程式,Claude Cowork 都有專屬的 Plugin 或應用程式介面(API),可在被提示(prompt)時向外部共享資料。在這些情境中,研究人員僅使用簡單的單輪提示,並在 10 到 30 分鐘內完成資料外洩的準備工作。
DTEX 內部威脅情報與創新總監 Alex Desmond 表示,邊緣模型(frontier models)的改進與 AI 工具更深層的整合,使得防禦者應對資安漏洞的時間急遽縮短。他指出,網路攻擊的「攻擊鏈」(kill chain)執行時間已從六個月前的數小時,縮短至目前的 10 到 30 分鐘不等。他強調,AI 洩密的速度,加上對業務網路或雲端服務的直接存取,可能造成內部威脅的「惡夢」,企業需同時監控惡意行為者與員工潛在的錯誤。DTEX 的研究並非指出軟體漏洞,而是一個 IT 治理與可見度問題。許多企業在未實施足夠安全控制、存取政策和監控措施的情況下,就將 AI 工具整合到工作流程中,並鼓勵員工使用。
若組織沒有記錄和審計其提示,或事件是 Agent 自主行為或回應惡意指令所導致,將很難判斷涉及 AI Agent 的資料外洩是如何發生。此外,如果使用者日常工作流程涉及將敏感檔案下載到本地端,網路和雲端監控可能無法提供足夠強烈的訊號來偵測資料外洩。
Alex Desmond 進一步解釋,如果一個國家級駭客合法進入企業環境,並獲得 AI 工具的存取權限,這形同是給予他們「所有東西的鑰匙」,以及一個讓竊取資料變得更簡單的工具。例如,曾有西方 IT 與網路資安企業發現,求職者實際上是為北韓政府秘密工作,利用薪資規避國際制裁並資助北韓核武計畫,同時獲取敏感資料或資產。這些研究結果顯示,企業在擁抱 AI 帶來的便利性時,也必須正視其潛在的資安風險,並全面檢視現有的資安策略,以確保這些強大的工具不會反過來成為企業最脆弱的環節。
